安全事件響應(yīng)程序:何時該關(guān)閉系統(tǒng)
企業(yè)比以往任何時期都依賴于把它和社會聯(lián)系在一起的電腦和系統(tǒng)。同時,為了企業(yè)有價值的信息或出于某些政治原因的攻擊也變得前所未有的復(fù)雜,這些攻擊給企業(yè)安全團隊增加了很大的壓力,因為保持關(guān)鍵系統(tǒng)無中斷地安全運行變得越來越難。
無論企業(yè)如何為安全做準(zhǔn)備,安全團隊還是要面臨被攻擊的威脅,這時,他們需要權(quán)衡系統(tǒng)繼續(xù)運行被感染的風(fēng)險有多大以及是否需要把目標(biāo)系統(tǒng)關(guān)閉。安全團隊到底該如何決定?需要衡量哪些因素?
本文中,我們會研究一些常見的受到攻擊后需要關(guān)閉系統(tǒng)的情景,并討論在遇到這種情況時安全團隊該做哪些準(zhǔn)備。
關(guān)閉系統(tǒng)的案例
遇到信息安全事件就關(guān)閉系統(tǒng)可能是最過激的選擇,但在特定的情況下也是最好的選擇。企業(yè)必須權(quán)衡保持系統(tǒng)運行來處理事件和關(guān)閉系統(tǒng)兩者所帶來的后果再決定。
當(dāng)攻擊威脅到他人的生命安全,或者會導(dǎo)致企業(yè)和客戶受到嚴重損害時,這時就必須關(guān)閉整個或部分系統(tǒng)。例如,如果攻擊者有可能獲得調(diào)控交通紅綠燈的電腦系統(tǒng)控制權(quán),那么最好是關(guān)閉系統(tǒng),因為司機一般會把不能運行的交通燈視為停止信號。一旦攻擊者控制交通燈,后果是非常可怕的。
面對這些極端的案例很容易做出決定,但是企業(yè)實際面臨的大多數(shù)情況都不會這么極端。例如,一個系統(tǒng)感染了蠕蟲病毒,而且它正試圖攻擊其它本地系統(tǒng)。這時,從網(wǎng)絡(luò)中移除或關(guān)閉這個系統(tǒng)就可以阻止病毒蔓延到其它系統(tǒng)中。蠕蟲病毒從一個系統(tǒng)傳播到下一個系統(tǒng)非常快,所以要很快做出決定。當(dāng)然,這種決定也要取決于實施的安全性和可行性,要考慮是否有控制方法限制病毒只存在于已感染系統(tǒng)中,而不會傳播到整個系統(tǒng)。
如果受感染的系統(tǒng)不包含敏感數(shù)據(jù)而且只有可用性需求時,安全團隊可以對停機成本和遏制并修復(fù)感染系統(tǒng)的恢復(fù)成本做一個大致的計算,然后根據(jù)計算結(jié)果做出決定。也有一些情形是不需要關(guān)閉整個系統(tǒng)的。例如,當(dāng)一個高價值系統(tǒng)正在處于調(diào)查中,關(guān)閉外部網(wǎng)絡(luò)連接來阻止攻擊者獲得額外的訪問往往是首選。
當(dāng)然,在某些情況下,用關(guān)閉系統(tǒng)來響應(yīng)一個信息安全事件也是最糟糕的選擇。如果攻擊者已經(jīng)損害了一個本地系統(tǒng),關(guān)閉系統(tǒng)極有可能丟失一些有力證據(jù)。關(guān)閉網(wǎng)絡(luò)連接或者整個網(wǎng)絡(luò),也有可能銷毀可以用于調(diào)查的證據(jù)。這時最好是保持系統(tǒng)運行,拔掉網(wǎng)絡(luò)連接,讓攻擊者不能再訪問系統(tǒng),然后開始調(diào)查。當(dāng)然每個企業(yè)都需要評估這樣做是否比關(guān)閉系統(tǒng)更值得。
關(guān)閉系統(tǒng)需做的準(zhǔn)備
盡管關(guān)閉系統(tǒng)是最極端的選擇,但是企業(yè)可以做一些準(zhǔn)備工作。首先,詳細掌握這個系統(tǒng)中所存儲的數(shù)據(jù)并且做一個業(yè)務(wù)影響分析(BIA)。BIA將記錄系統(tǒng)對于業(yè)務(wù)的重要性、系統(tǒng)用途和中斷帶來的影響。然后可以得出一份業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計劃(BCDRP),類似于一個事故應(yīng)急預(yù)案,預(yù)案需要在事件發(fā)生前制定并定期進行測試。做好這些準(zhǔn)備,當(dāng)遇到必須關(guān)閉系統(tǒng)的情況時,隨手就有應(yīng)急處理方案。
在關(guān)閉系統(tǒng)前,獲得相關(guān)部門的授權(quán)也是安全事件響應(yīng)程序中關(guān)鍵的一部分。在制定BCDPR或事故應(yīng)急預(yù)案時,要和必要的人員溝通,比如首席信息安全官、首席信息官、服務(wù)臺、企業(yè)老板和市場部,這樣他們對于關(guān)閉系統(tǒng)與否可以快速做出決定。比如,如果關(guān)閉系統(tǒng)會導(dǎo)致企業(yè)業(yè)務(wù)基本停止,高層管理人員必須提前知道這種情況。他們需要了解關(guān)閉系統(tǒng)對企業(yè)的影響、已經(jīng)做出的努力、修復(fù)系統(tǒng)的潛在成本和影響。每個人需要知道的詳細內(nèi)容是不同的,這取決于他們的職位和可用到的資源。
要知道,關(guān)閉系統(tǒng)實際上并不能保障系統(tǒng)的安全性,所以這不是安全事件響應(yīng)程序中的最后一個步驟。不管是哪種安全問題造成此局面,在關(guān)閉系統(tǒng)之后,一定要及時補救,比如修復(fù)系統(tǒng)、改變配置或者限制訪問只對信任連接開放。補救這個步驟要花費的時間取決于BIA和BCDRP。停機造成最大影響的系統(tǒng)應(yīng)該最快被修復(fù)。例如,一個Web服務(wù)器帶有一個Web應(yīng)用程序,該應(yīng)用程序很容易感染SQL漏洞。那么當(dāng)開發(fā)補丁時,該應(yīng)用程序需要停止。Web服務(wù)器需要建立一個Web應(yīng)用程序防火墻或者更改配置來移除訪問,以便于在系統(tǒng)上運行命令。
當(dāng)企業(yè)面臨網(wǎng)絡(luò)攻擊時,關(guān)閉系統(tǒng)是最極端的處理方式有時也是唯一的選擇。了解關(guān)閉特定系統(tǒng)或網(wǎng)絡(luò)連接會帶來的業(yè)務(wù)影響可以幫助企業(yè)決定是利用資源來修復(fù)已損害的系統(tǒng),還是關(guān)閉系統(tǒng)。無論是哪種情況,確保有緊急事故預(yù)案和溝通渠道可以降低企業(yè)損失。
